Главная страница
О проекте Навигация Контакт
Поиск


ru.cisco

 
 - RU.CISCO ---------------------------------------------------------------------
 From : Alex V. Bogdanov                     2:5020/400     17 Jan 2002  09:41:01
 To : Oleg S. Buchalov
 Subject : Re: AAA-Server
 -------------------------------------------------------------------------------- 
 
 
 "Oleg S. Buchalov" wrote:
 
 > 
 > Здравствуйте all
 > 
 > Есть два ААА-сервера TACACS+ (первый x.x.x.1 ,  второй x.x.x.2) и NAS
 > Cisco2509 с серийкой.
 > 
 > Hа кисе прописано
 > .
 > .
 > tacacs-server host x.x.x.1
 > tacacs-server host x.x.x.2
 > .
 > .
 > 
 > 3А-серваки под NT и информация о юзверях храниться в NT-базе.
 > 
 > Вопрос:
 >  Если NAS не находит инфомацию о юзвере в первом 3А-серваке, то будет
 > ли он ее искать во втором?
 
 В исходном варианте - нет. По ответу FAIL киска просто посылает юзверя
 нафиг и успокаивается. Ко второму серваку она обращается в случае ответа
 ERROR - если такакс по каким-либо причинам не может вообще проверить
 этого юзера (глюка какая случилась или что-нить еще в таком же духе). В
 принципе, можно перепилить такакс чтобы он вместо FAIL отдавал ERROR, но
 тогда еще придется долго возиться с авторизацией на эту же тему - если у
 тебя default authorization = permit, то даже если юзверь
 аутентицировался на втором серваке, то авторизуется он на первом. 
 Да, и вообще, чтобы добиться того что ты хочешь имеет смысл написать
 что-то в таком духе:
 
 aaa group server tacacs+ 1
  server x.x.x.1
 aaa group server tacacs+ 2
  server x.x.x.2
 
 aaa authentication ppp 111 group 1 group 2 
 aaa authorization network 111 group 1 group 2
 aaa accounting network 111 start-stop broadcast group 1 group 2
 
 Последняя строка нужна чтобы у тебя аккаунтинг валился на оба сервака
 сразу, иначе он будет валиться только на первый.
 После этого перепиливаешь первый такакс на ответ ERROR вместо FAIL и
 должно работать. Я такие штуки уже делал, правда у меня такакс был под
 FreeBSD, там это, сам понимаешь, проще, при наличии исходников... 
 -- 
 Hу, чтобы все.
 AVB
 
 Отправлено через сервер Talk.Ru - http://talk.mail.ru
 --- ifmail v.2.15dev5
  * Origin: А оно вам надо? (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 Re: AAA-Server   Alex V. Bogdanov   17 Jan 2002 09:41:01 
Архивное /ru.cisco/1496345ae8b9.html, оценка 3 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional